GDPR: ¿cuándo necesitas el consentimiento explícito de tus clientes?

Posted by media on 22/03/18 0:00

GDPR_consentimiento_explícito_clientes

Cuando el Reglamento General de Protección de Datos (GDPR) sea de aplicación directa en toda la Unión Europea el próximo 25 de mayo de 2018, será necesario en determinadas ocasiones la obtención del consentimiento explícito de los usuarios para la recogida de sus datos personales.

Pero, ¿qué es el consentimiento explícito?, ¿en qué casos concretos es necesario obtenerlo? Resolvemos estas y otras dudas del GDPR (EU) 2016/679 en el siguiente post.

Este post también está disponible en inglés.

 

     ÍNDICE

     ÍNDICE

 

GDPR: ¿qué es el consentimiento explícito?

En un principio, la definición y los requisitos del consentimiento explícito serían los mismos que los del consentimiento general citados en el GDPR:

“Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta el tratamiento de datos personales que le conciernen, ya sea mediante una declaración o una clara acción afirmativa”.

El GDPR establece un requisito formal para la obtención del consentimiento y así garantizar que sea inequívoco: el consentimiento deberá ser recabado mediante una declaración o mediante una clara acción afirmativa.

 El término “clara acción afirmativa” cobra así con el nuevo GDPR especial importancia y suprime la posibilidad del consentimiento tácito o las clásicas ventanillas con casillas pre-marcadas que se permitían con la legislación anterior.

 Asimismo, la oficina británica Information Commissioner’s Office (ICO), equivalente a la   Agencia Española de Protección de Datos (AEPD), explica que las solicitudes de   consentimiento deben ser:

  • Algo único: separado de otros términos y condiciones. El consentimiento no debe ser
    una condición previa para firmar un servicio, a menos que sea necesario para el mismo.
  • Definido: habrá que ofrecer una explicación detallada de para qué se está pidiendo el consentimiento de esos datos personales y cuál será su tratamiento.
  • Nominativo: será necesaria la identificación de la organización responsable y los
    terceros cesionarios de los datos.
  • Documentado: mantener registros para demostrar lo que el individuo consintió y cómo, incluyendo qué dijo, cuándo y sobre qué se le informó.
  • Revocable: retirar el consentimiento debe ser un proceso tan sencillo como otorgarlo.
    Por tanto, una empresa debe contar con mecanismos simples y eficaces de retirada de consentimiento.
  • Equilibrado: asegurar que no existe desequilibrio alguno en ninguna relación entre individuo y controlador como, por ejemplo, empleado y empleador en el ámbito empresarial o inquilino y propietario en viviendas.

 

Entonces, ¿cuál es la principal diferencia con el consentimiento general?

La diferencia del consentimiento explícito con el general radicaría en que el primero no debe dejar lugar a la libre interpretación, siendo recogido de manera precisa y clara.

La distinción reside por tanto en que los responsables de los datos tendrán que asegurarse de la obtención de dicho consentimiento de manera indiscutible.

Tal y como ha especificado la oficina británica (ICO), “la declaración para obtener el consentimiento explícito debe especificar la naturaleza de los datos a recopilar, los detalles de la decisión automatizada y sus efectos o los detalles de los datos que se van a transferir y los riesgos de tal transferencia”.

consentimiento_explícito_clientes_gdpr_signaturit.jpeg

 

¿Cuándo es necesario el consentimiento explícito de tus clientes?

El GDPR establece los supuestos en los que el consentimiento además de ser inequívoco, como hemos indicado, deberá ser explícito:

  • Cuando se haga tratamiento de datos sensibles (artículo 9.2.a GDPR)

Son datos que el Reglamento les otorga una especial protección, ya sea por su naturaleza o por la relación que puedan tener con los derechos y las libertades fundamentales de las personas: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos con el objetivo de identificar de manera exclusiva a un individuo, datos relativos a la salud o la vida sexual y/o la orientación sexual.

Más información > Artículo 9 UE GDPR "Tratamiento de categorías especiales de datos personales"

  • Cuando se adopten decisiones automatizadas y elaboración de perfiles (artículo 22.2.c GDPR)

Estas prácticas que se lleva a cabo en la publicidad digital, si bien aportan numerosos beneficios, también pueden surgir riesgos significativos para los derechos y libertades de las personas por ello para tratar legalmente los datos, se requerirá el consentimiento explícito del interesado.

Más información > Dictamen del GT 29 sobre la toma de decisiones individuales automatizadas y la elaboración de perfiles (WP 251)

  • Cuando se realicen transferencias internacionales (artículo 49.1.a GDPR)

El RGPD señala que se podrán realizar transferencias de datos a países sin un nivel adecuado de protección si se observan alguna de las excepciones para la transferencia entre ellas, obteniendo el consentimiento del interesado, pero reforzado.

El interesado debe consentir expresamente esa transferencia planteada, después de ser informado de los eventuales riesgos para él de esas transferencias.

Más información > El nuevo Reglamento y las transferencias internacionales

 

transferencias_internacionales_datos_personales_GDPR.jpeg

Verificable a posteriori, la clave del consentimiento explícito

En estos casos se considera apropiado elevar el nivel de control que los interesados tienen sobre sus datos personales y por ello el reglamento exige que los individuos acepten el tratamiento por medio de una declaración clara por escrito, medios electrónicos como
la firma electrónica, declaración verbal o marcando una casilla de un sitio web de Internet.

Pero como bien indica el art.7.1 del Reglamento Europeo es importante recordar que el consentimiento debe ser verificable a posteriori y quienes recopilen datos de carácter personal deberán ser capaces de demostrar que se ha obtenido el consentimiento del afectado.


“Cuando el tratamiento se base en el consentimiento del interesado,
el responsable deberá ser capaz de demostrar que aquel
consintió el tratamiento de sus datos personales.”

art. 7.1 GDPR


La forma obvia de poder demostrar este consentimiento explícito de manera indiscutible es a través de una declaración escrita firmada por el interesado, por encima de una declaración verbal por ejemplo, mucho más difícil de probar llegado el caso.

Además, dentro de un contexto digital, esta declaración escrita firmada se puede conseguir mediante el uso de la firma electrónica, recomendada directamente por el GT29 -órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea- en su documento Guidelines on Consent under Regulation 2016/679.  

De este modo se eliminan todas las posibles dudas  y la potencial falta de evidencias en la obtención del consentimiento expreso.

 

Conclusión

Después de  lo expuesto, las empresas deberán adaptar los mecanismos que utilizan de obtención del consentimiento para respetar la nueva visión del Reglamento, con el fin de garantizar que este sea libre, informado, específico, inequívoco y, en los casos comentados, explícito.

Poder utilizar herramientas que demuestren el consentimiento del usuario para que su voluntad no arroje dudas, es uno de los retos más importantes que los responsables del tratamiento tendrán que asumir en las empresas y donde la solución de firma electrónica de Signaturit se presenta como la mejor opción.

Si tienes preguntas respecto a cómo obtener el consentimiento explícito con nuestra solución de firma electrónica por favor envíanos un email info@signaturit.com o llámanos al 93 551 14 80.

Este post también está disponible en inglés.


New Call-to-action

Tags: GDPR

Subscríbete al blog

Últimos posts